Facebook potrebbe aver violato l'accordo sulla privacy della FTC, innescando il rischio di pesanti multe

Due ex funzionari federali, in riferimento al decreto sul consenso dei dati personali, che regola il modo in cui Facebook gestisce la privacy degli utenti, affermano che la società potrebbe aver violato quel decreto condividendo informazioni di decine di milioni di utenti con una società di analisi dei dati che in seguito ha lavorato per la campagna del presidente Trump nel 2016.

Una tale violazione, se confermata dalla Federal Trade Commission, potrebbe portare a molti milioni di dollari di multe contro Facebook, ha dichiarato David Vladeck, che come direttore dell'Ufficio per la protezione dei consumatori della FTC ha supervisionato le indagini sulle presunte violazioni della privacy da parte di Facebook e il successivo decreto di consenso dei dati personali, risolvendo il caso nel 2011. Ha lasciato quella posizione dal 2012.

Facebook avrebbe condiviso dati di 270.000 utenti ed i loro “amici”

L’11 marzo, Vladeck ha dichiarato in un'intervista al Washington Post che la condivisione dei dati di Facebook con Cambridge Analytica "solleva seri interrogativi sulla conformità con il decreto del consenso dei dati personali della FTC".

Ha aggiunto: "Non sarei sorpreso se ad un certo punto la FTC si interessasse a questa questione. Mi aspetterei che lo facessero". La FTC non ha risposto immediatamente alle richieste di commento di domenica 11.
Facebook ha negato la violazione del decreto, quando permise a uno sviluppatore di app che lavora per Cambridge Analytica di ottenere l'accesso a informazioni su una stima di decine di milioni di persone.

Il gruppo comprendeva sia i 270.000 utenti di Facebook che hanno scaricato un'applicazione di test psicologico e gli "amici" di Facebook di quelle persone.

Ciò includeva le preferenze che gli amici avevano espresso premendo il pulsante "mi piace" ampiamente usato sui post dei social media e sulle notizie.
In una dichiarazione di sabato 17 marzo, Facebook ha dichiarato: "Rifiutiamo qualsiasi suggerimento di violazione del decreto sul consenso dei dati personali. Abbiamo rispettato le impostazioni sulla privacy che le persone avevano sottoscritto. La privacy e la protezione dei dati sono fondamentali per ogni decisione che prendiamo."

Vladeck, ora professore alla Georgetown Law, ha affermato che le violazioni del decreto di consenso dei dati personali potrebbero comportare una sanzione di 40.000 dollari per violazione, il che significa che se le notizie riportano che i dati di 50 milioni di persone sono stati condivisi, la possibile esposizione della compagnia si estenderebbe a trilioni di

dollari. Vladeck ha detto che una tale multa è improbabile, ma che la penalità finale potrebbe essere ancora più grande. "Questa è la massima esposizione, anche se non mi è chiaro se l'agenzia insisterà su quel tipo di sanzione", ha detto.

La questione della FTC sta aumentando in quanto i legislatori negli Stati Uniti e in Gran Bretagna chiedono risposte da Cambridge Analytica e Facebook - in alcuni casi chiedendo che l'amministratore delegato di Facebook Mark Zuckerberg appaia personalmente alle audizioni legislative.

Diventa Esperto di Privacy e Antitrust
con il Master di Alta Formazione GIURISTI D'IMPRESA

Il Caso di presunta violazione dei dati personali

Il decreto sul consenso dei dati personali della FTC richiedeva che gli utenti fossero informati e che rilasciassero esplicitamente il loro consenso prima che i dati su di essi fossero condivisi oltre le impostazioni sulla privacy che avevano stabilito. Lo sviluppatore dell'app ha chiesto il permesso a chi l’ha scaricata ma non ai suoi amici di Facebook. L'app, denominata "thisisyourdigitallife", offriva previsioni sulla personalità e si fatturava su Facebook come "un'app di ricerca utilizzata dagli psicologi".

Una questione chiave è: cosa fosse consentito dalle impostazioni sulla privacy di Facebook al momento della violazione, e se tali autorizzazioni erano così ampie da consentire violazioni di routine del decreto del consenso FTC del 2011.

Centinaia di sviluppatori, compresi quelli che hanno reso popolari le app di incontri e giochi e quelli che hanno creato app politiche per le campagne, hanno utilizzato Facebook per accedere a enormi quantità di informazioni sugli utenti e sui loro amici di Facebook. I dati che potevano essere facilmente accessibili dagli amici includevano i nomi degli utenti, la loro educazione e storie di lavoro, i compleanni, i mi piace, le località, le foto, gli stati delle relazioni e le affiliazioni religiose e politiche.

Secondo quanto riferito, i dati raccolti dall'app sono stati condivisi con Cambridge Analytica e utilizzati per aiutare la società a costruire profili dei singoli votanti e le loro preferenze politiche per indirizzare meglio la pubblicità su di loro. Cambridge Analytica ha negato l'errore o acquisito impropriamente i dati di Facebook.
Tali tecniche di raccolta erano all'epoca all'interno della politica di gestione dei dati di Facebook, ha detto la società, ma in seguito sono state severamente limitate attraverso i cambiamenti delle politiche nel 2014 e 2015.
La visione di Vladeck è stata ripresa da un altro ex funzionario che è stato anche strettamente coinvolto nell'elaborazione del decreto del consenso. Jessica Rich, che era allora il vicedirettore per il Bureau of Consumer Protection e ha supervisionato il programma di privacy della FTC, ha condotto l'inchiesta su Facebook prima del decreto del consenso del 2011.

La domenica mattina ha detto in una e-mail a The Post che l'azione segnalata da Facebook, se è vera, "rivela la stessa incoscienza con i dati dei suoi utenti che ha spinto la FTC ad agire nel 2011."

Rich ha detto che il decreto sul consenso dei dati personali specificamente vieta dichiarazioni ingannevoli, richiede agli utenti di accettare in modo affermativo la condivisione dei propri dati con parti esterne e ha richiesto che Facebook segnalasse "l'accesso non autorizzato ai dati" alla FTC.

"A seconda di come scuotono tutti i fatti, le azioni di Facebook potrebbero violare alcune o tutte queste disposizioni, con molti milioni di dollari in sanzioni. Potrebbero anche costituire una violazione delle leggi statunitensi e dell'UE ", ha scritto Rich, che è vice presidente per la difesa dei consumatori.

"Facebook può aspettarsi diverse indagini e potenzialmente un sacco di responsabilità".

Facebook ha detto in un comunicato domenica pomeriggio che stava rinnovando gli sforzi per capire cosa è successo con i dati che hanno raggiunto Cambridge Analytica.

"Stiamo conducendo una revisione interna ed esterna completa mentre lavoriamo per determinare l'accuratezza delle affermazioni che i dati di Facebook in questione esistono ancora.

Questo è il nostro obiettivo principale, poiché continuiamo a impegnarci a rafforzare vigorosamente le nostre politiche per proteggere le informazioni delle persone", ha dichiarato Paul Grewal, vice-consigliere generale di Facebook nella dichiarazione.

I precedenti di Facebook secondo le associazioni dei consumatori

Prima del decreto sul consenso dei dati personali del 2011, Facebook era stato oggetto di intense critiche per le sue pratiche in materia di privacy e sicurezza. Gruppi di watchdog di consumatori come l’Electronic Privacy Information Center avevano sollecitato la FTC a indagare sulla società sulla base del fatto che aveva ingannato i consumatori, cambiando il modo in cui gestiva le informazioni sensibili degli utenti con pochi avvertimenti.
La FTC ha concordato nel novembre 2011, criticando Facebook per aver fornito alcune informazioni, come le liste di amici degli utenti, visualizzabili dal pubblico senza prima ottenere il permesso di tali utenti. La FTC ha anche scoperto che Facebook condivide le informazioni personali con gli inserzionisti, nonostante prometta di non farlo. L'agenzia ha sollevato altri problemi relativi alle app su Facebook, secondo le quali i regolatori avevano accesso a più informazioni di quante ne avessero bisogno per operare.

Di conseguenza, la FTC ha richiesto a Facebook di ottenere il consenso dei consumatori prima di "attuare cambiamenti che annullano le loro pratiche sulla privacy", ha detto l'agenzia all'epoca. Ha inoltre sottoposto Facebook a 20 anni di controlli indipendenti sulla privacy di terze parti per garantire che seguisse l'accordo.
Tuttavia, a distanza di anni, l'ultima controversia sta sollecitando ulteriori azioni da parte dei difensori dei consumatori, che affermano che la FTC è in parte responsabile perché non ha penalizzato il gigante dei social media per le altre controversie sulla privacy.

"Questa è la conseguenza dell'impossibilità da parte della Federal Trade Commission di far rispettare l'ordine di consenso dei dati personali del 2011 con Facebook", ha dichiarato Marc Rotenberg, presidente dell’Electronic Privacy Information Center. "Gli Stati Uniti hanno bisogno di un'agenzia per la privacy dedicata e di una legge sulla privacy completa. La FTC non può fare da sola tutto il lavoro".

L’incidente di Whatsapp

Alcuni difensori della privacy in precedenza hanno criticato l'FTC per la sua risposta a un incidente del 2014 in cui Facebook, che possiede anche l'app di messaggistica WhatsApp, ha iniziato a combinare i dati degli utenti tra i suoi servizi dopo aver inizialmente promesso che li avrebbe tenuti separati.

L'incidente ha poi condotto un'indagine formale e una multa dall'Unione Europea, che ha accusato Facebook di aver fatto affermazioni fuorvianti sui suoi piani e le sue pratiche. La FTC, da parte sua, ha emesso solo una lettera di avvertimento della società - e non è mai sembrato intervenire ulteriormente.